假设有一台搭载 AlliedWare 操作系统 (2.9.1) 的 Allied Telesis 路由器,我想禁用对该路由器所有管理服务的访问,但一些子网除外(或者,使用其他制造商的交换机和路由器型号的“管理 VLAN”)。
到目前为止我已经尝试过:
创建新的 VLAN 和适当的 IP 接口,将本地 IP 设置到此子网中,为 IP 接口创建 IP 过滤器并指定我的排除子网:它根本无法按预期工作,因为我可以从任何其他 VLAN 接口访问本地 IP 集 - 流量显然根本没有经过我定义的过滤器集
创建新的 IP 筛选器集并将其绑定到本地 IP 接口:这似乎根本不会影响任何类型的流量,筛选器集的计数器仍为零数据包
设置远程安全官员级别 IP 地址范围:这仅限制具有安全官员权限级别的用户从除指定地址范围/子网之外的任何地址范围/子网登录的能力。遗憾的是,它不会阻止服务可用性(以及 DoS 容量)或以较低权限用户(例如“管理员”)登录的能力
致电技术支持:遗憾的是目前还没有解决方案
我还没尝试过的:
- 为路由器上定义的每个 IP 接口创建一个过滤器集,并排除对路由器管理 IP 的访问:我想减少 IP 过滤器带来的开销,因为路由器有时已经受到 CPU 限制。为每个 IP 接口设置过滤器意味着每个流量包都必须通过过滤器,从而消耗 CPU 周期。如果可能的话,我想找到一个不同的解决方案。
答案1
AT 的 L2 支持工程师的最终答案是,除非在所有不希望进行管理的接口上设置过滤规则,否则无法将管理限制在特定接口上。